Sprache auswählen

Interview
Cyber-Security an Bord: „Wer über Maritim 4.0 spricht, muss seine Hausaufgaben machen“

In „Der Morgen stirbt nie“ bringen Terroristen ein Kriegsschiff von seinem Kurs ab, indem sie seine GPS-Signale manipulieren. Was 1997 – zum Kinostart des 18. James Bond – noch der Phantasiewelt britischer Filmemacher entsprang, ist knapp 20 Jahre später eine reale Bedrohung. „GPS-Spoofing“ wird sie von Fachleuten genannt – und Forscher der Uni Texas haben sie 2013 recht eindrücklich bewiesen; indem sie eine 80 Millionen Dollar teure Luxusjacht unbemerkt von der Crew vom Kurs abgebracht haben. Was ist los mit der Cyber-Security in der Schiffbauindustrie? – schwärmen doch Schiffbauer, Systemintegratoren und Reeder von den neuen Möglichkeiten, die Maritim 4.0 bietet. Ob die Branche dafür überhaupt reif ist und was noch zu tun ist, darüber haben wir mit Professor Dr. Karl-Heinz Niemann, von der Hochschule Hannover, gesprochen.

Prof. Dr.-Ing. Karl-Heinz Niemann

Prof. Dr.-Ing. Karl-Heinz Niemann forscht und lehrt an der Fakultät Elektro- und Informationstechnik der Hochschule Hannover. Er vertritt das Lehrgebiet Prozessinformatik und Automatisierungstechnik und hält Vorlesungen zu den Themen Integrierte Automation, Industrielle Bussysteme, Prozessinterfaces und Energieeffizienz. Sein Forschungsschwerpunkt liegt im Bereich der Cyber-Security von Produktionsanlagen, insbesondere im Kontext von Industrie 4.0. Darüber hinaus leitet Prof. Niemann die Expertenfabrik IT-Sicherheit des Kompetenzzentrums Mittelstand 4.0 für Niedersachsen und Bremen und ist in verschiedenen Arbeitskreisen der PNO und des VDI tätig.

Prof. Dr.-Ing. Karl-Heinz Niemann

Das Gerät, mit dem die Forscher aus Texas das Navigationssystem der Luxusjacht überlistet haben war gerade mal so groß wie ein Aktenkoffer. Die 65-Meter-Jacht hatte zwei GPS-Empfänger und ließ sich dennoch täuschen. Die Texaner haben einfach ein GPS-Signal erzeugt und die Signalstärke so lange erhöht, bis die Empfänger den Sender wechselten. Was bedeutet dieses Szenario für Sie als Experte für Cyber-Security?

Dass wir noch jede Menge zu tun haben. Bei der Cyber-Security herrscht in der Automatisierung noch erheblicher Nachholbedarf. Während alle über Industrie 4.0 nachdenken, müssen wir leider noch über die Hausaufgaben sprechen, die wir noch für Industrie 3.0 zu erledigen haben – weil wir zuerst einmal die bestehenden Systeme ertüchtigen müssen.

Sie sprechen von Automatisierungstechnik. Gibt es Ihrer Meinung nach Unterschiede zwischen industrieller Automation und der Automation auf Schiffen?

Ich denke, die Schifffahrt ist in puncto Cyber-Security ähnlich gut oder schlecht aufgestellt wie andere Branchen. Zu Ihrem Beispiel mit der Luxusjacht existieren ja durchaus Parallelen in anderen Branchen. Spontan fällt mir das eines Hochofens ein, der durch einen Cyberangriff zum Stillstand gebracht wurde. Hochöfen sind typische Anlagen der Prozesstechnik, die über mehrere Jahre hinweg ohne Pause durchlaufen. Dieser von außen herbeigeführte Stillstand sorgte letztlich für einen Totalschaden. Die Auswirkungen von Cyberkriminalität sind also überall gravierend. Insofern sehe ich keine Branchenunterschiede, was den aktuellen Umsetzungsgrad von Cyber-Security betrifft – ebenso wenig, wie die sich daraus ergebenden Risiken und die Notwendigkeit, sich mit der Thematik auseinanderzusetzen.

Was können Unternehmen in Sachen Cyber-Security tun. Welche Hausaufgaben würden Sie ihnen mitgeben?

Es gilt sicher zu verhindern, dass sich Angreifer einfach auf ein Netzwerk schalten. Dabei ist zu berücksichtigen, dass Verbindungen nach außen ja nicht an sich schlimm sind; ich muss sie nur richtig absichern. Was in diesem Zusammenhang sicher bedeutet, ist zweifelsohne auch eine Frage der Einstellung.

digitalisierung_referenz_karl-heinz-niemann_x8_2000x2000.jpg

» Es gibt immer Personen, die Ihnen erzählen wollen, dass ihre Anlage keine Verbindung zum Rest der Welt hat und, dass Cyber-Security darum keine Relevanz für sie hat. Glauben Sie ihnen nicht! «

Prof. Dr.-Ing. Karl-Heinz Niemann

Was meinen Sie damit?

Es gibt immer Personen, die Ihnen erzählen wollen, dass ihre Anlage keine Verbindung zum Rest der Welt hat und, dass Cyber-Security darum keine Relevanz für sie hat. Glauben Sie ihnen nicht! Es gibt immer irgendwo eine Verbindung. Eine ganz grundsätzliche Hausaufgabe, die wir darum meiner Meinung nach zu erledigen haben, ist erst einmal dafür zu sensibilisieren, welche Relevanz Cyber-Security für die unterschiedlichen Akteure der Schiffbauindustrie hat – also, an welchen Stellen wir täglich mit Sicherheitslücken in Verbindung kommen oder sogar, meist unabsichtlich, selbst welche erzeugen.

Meinen Sie damit beispielsweise die tägliche Praxis auf Containerschiffen, dass Lademeister ihre Ladungsdaten mit einem an Land beschriebenen USB-Stick ins System einspielen?

Das ist genau so ein Fall. USB-Sticks sind ein absolutes No-Go. Trotzdem ist die Praxis absolut üblich, obwohl sie offensichtlich klare Schwachpunkte birgt – zumindest dann, wenn es keinen Quarantänebereich für mitgebrachte Daten gibt.

Ist die Cyber-Security ein Problem, mit dem sich die Besatzung eines Schiffes allein befassen muss? Wer ist hier Ihrer Meinung nach in der Pflicht?

Die Menschen in den Betrieben oder an Bord zählen ohne Frage zu den potentiellen Schwachpunkten jedweder an Bord installierten IT; und leider haben sie häufig keine Chance, die überaus ausgeklügelten Angriffe auf ihre Systeme zu erkennen. Deshalb ist es so wichtig, dass Reedereien Prozesse und Verfahren eindeutig beschreiben und dann ein Management-Commitment zur Cyber-Security formulieren. Für das Beispiel mit dem Containerschiff würde daraus etwa eine Definition dazu folgen, wie mit Ladedaten umzugehen ist, wenn wieder jemand mit einem USB-Stick in der Hand auf der Brücke steht.

digitalisierung_referenz_karl-heinz-niemann_x1_2000x2000.jpg

» In Sachen Cyber-Security haben wir es weniger mit einer Methode zu tun, als mit einer Unternehmensstrategie. «

Prof. Dr.-Ing. Karl-Heinz Niemann

Damit sehen Sie also die Führungsebene in der Verantwortung.

Das stimmt. In Sachen Cyber-Security haben wir es weniger mit einer Methode zu tun, als mit einer Unternehmensstrategie, die vom Management nach unten reicht – und für die alle bereit sein müssen, einen gewissen Aufwand zu betreiben. Es gilt, Autorisierungen zu definieren, Zugänge zu überwachen und auch Notfallpläne zu erstellen für den Fall eines Totalverlustes von Daten. Es reicht nicht mehr aus, Schaltschränke mit einem Vierkantschlüssel vor unbefugtem Zugriff zu schützen.

Was wir benötigen, ist eine Verteidigung in der Tiefe – vergleichbar mit einer Ritterburg. Erst schützt der Zaun das Werksgelände, dann gibt es Zutrittsbeschränkungen zu bestimmten Räumen, gefolgt von Reglementierungen für bestimmte Schränke.

Nun ist eine Burg ja durchaus als stationär zu bezeichnen. Sehen Sie für Schiffe besondere Maßnahmen?

Im Vergleich zu Applikationen an Land, gibt es auf Schiffen neue Herausforderungen und Bedrohungspotentiale – insbesondere aufgrund der Zusatzelektronik, die mit an Bord ist. Hierzu zählen zum Beispiel Navigations-, Tracking- und Kollisionswarnsysteme. Das sind Einrichtungen, die vor allem für die Sicherheit des Schiffes notwendig sind. Überdies ist ein Schiff keine Insel – wie man vielleicht meinen möge. Vielmehr stellen viele dieser Zusatzsysteme Verbindungen nach außen und zum Land her und bieten damit viel Angriffsfläche für Manipulationen. Ebenso, wie Sie sie eingangs in ihrem Szenario beschrieben haben.

Das hört sich in Summe so an, als stelle die fortschreitende Digitalisierung an Bord die Cyber-Security vor neue oder zusätzliche Probleme.

Das ist auch so! Mit Industrie 4.0 entstehen zusätzliche Kommunikationsbeziehungen, weil Unternehmen ihren Datenfluss durchgängig gestalten. Und durch die horizontale und vertikale Integration reichen bestehende Abschottungskonzepte, als ein Bestandteil von Defense-in-Depth, nicht mehr aus. Gefragt ist nun IT-Security by Design: also Funktionen der Cyber-Security, die von vornherein in Gestalt einer layer-basierten Sicherheitsarchitektur in die Steuergeräte integriert werden.

Hat dieser Weg Auswirkungen auf die Zulassung der Technik auf Schiffen? Müssen die Klassifizierungsgesellschaften angesichts der von Ihnen geschilderten Brisanz auch die Cyber-Security bei ihren Zertifizierungen beachten?

Ich bin davon überzeugt, dass die Klassifizierer an diesem Thema dran sind – gerade weil es in puncto Cyber-Security auf Schiffen reichlich Nachholbedarf gibt. Wie gesagt: Für eine wirksame Defense-in-Depth haben wir alle unsere Hausaufgaben 3.0 zu machen – für mich ist das eine zwingende Voraussetzung, um die Visionen umsetzen zu können, die sich derzeit unter dem Schlagwort Maritim 4.0 entwickeln.

Ihr Ansprechpartner bei WAGO

Market Management Building & Industry

Weitere Serviceangebote: